等保制度與ISO27001的區(qū)別

Date22 9 月 2017

Comment0

信息安全等級(jí)保護(hù)制度從1994年提出，到現(xiàn)在也有10個(gè)年頭了，為什么持續(xù)許久，“天時(shí)”未到。隨著信息網(wǎng)絡(luò)應(yīng)用加深和安全事件的增多，企業(yè)和政府都面臨著信息安全的問(wèn)題，“天時(shí)”具備了。
作為資產(chǎn)的擁有者企業(yè)首先走出了信息安全管理的第一步。目前企業(yè)在進(jìn)行信息安全實(shí)施的過(guò)程中主要依照的是ISO 27001國(guó)際信息安全管理體系標(biāo)準(zhǔn)，“地利”具備了。
等級(jí)保護(hù)制度“十年一劍”，從引進(jìn)國(guó)外標(biāo)準(zhǔn)到提出符合國(guó)情的“分級(jí)保護(hù)”制度，思想也越來(lái)越成熟，從分級(jí)標(biāo)準(zhǔn)到檢查準(zhǔn)則都相繼出臺(tái)，可行性也逐步加強(qiáng)，得到了企業(yè)的普遍認(rèn)可，“人和”的條件也具備了。
但是一個(gè)是國(guó)際的信息安全標(biāo)準(zhǔn)，一個(gè)是國(guó)家的信息安全政策，如何協(xié)調(diào)兩者的關(guān)系，做到“一箭雙雕”，而不是重復(fù)投資，需要企業(yè)和政府在實(shí)施標(biāo)準(zhǔn)和履行政策上加一協(xié)調(diào)，統(tǒng)籌安排。下面作者將結(jié)合自己的實(shí)踐和理解，提出對(duì)信息安全等級(jí)保護(hù)的個(gè)人看法。
一、信息安全等級(jí)保護(hù)制度和ISO 27001標(biāo)準(zhǔn)的概念
1.1 什么是信息安全等級(jí)保護(hù)制度？
信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理。根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級(jí)、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。其核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。
等級(jí)保護(hù)的主要內(nèi)容有4點(diǎn)，（1）對(duì)信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實(shí)行分級(jí)保護(hù)。（2）對(duì)系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按分級(jí)許可管理。（3）對(duì)等級(jí)系統(tǒng)的安全服務(wù)資質(zhì)分級(jí)許可管理。（4）對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。
1.2 什么是ISO 27001標(biāo)準(zhǔn)？
信息安全管理體系國(guó)際標(biāo)準(zhǔn)起源于英國(guó)的BS 7799標(biāo)準(zhǔn)系列，后形成國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799和ISO/IEC 27001。該標(biāo)準(zhǔn)主要由兩大部分組成：ISO17799即“信息安全管理實(shí)施指南” （Code of practice for Information Security Management Systems），提出了在組織內(nèi)部啟動(dòng)、實(shí)施、保持和改進(jìn)信息安全管理的指南和一般原則，包括11個(gè)要素，39個(gè)控制目標(biāo)和133種控制措施；ISO 27001是“信息安全管理體系要求” （Specification for Information Security Management Systems），是在組織內(nèi)部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細(xì)說(shuō)明了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的模型和要求，可用來(lái)指導(dǎo)相關(guān)人員應(yīng)用ISO/IEC 17799，其最終目的，通過(guò)規(guī)范的過(guò)程，建立適合組織實(shí)際要求的信息安全管理體系。
從標(biāo)準(zhǔn)的兩個(gè)部分來(lái)理解，ISO 27001是一個(gè)總的指導(dǎo)思想，依據(jù)是“PDCA”（PLAN、DO、CHECK、ACTION）的“戴明環(huán)”管理思想，是一個(gè)整體的信息安全管理框架，強(qiáng)調(diào)的是建立一個(gè)持續(xù)循環(huán)的長(zhǎng)效管理機(jī)制；而ISO 17799就是具體的信息安全管理流程，是在ISO 27001整體框架指導(dǎo)下具體的信息安全細(xì)節(jié)。組織通過(guò)若干管理和技術(shù)措施，形成一個(gè)以體系文檔為保證的控制流程，從而保證組織業(yè)務(wù)的連續(xù)性，并可以通過(guò)國(guó)際認(rèn)證機(jī)構(gòu)的嚴(yán)格審核，獲得國(guó)際信息安全認(rèn)證證書(shū)。